heise PlusAbo
Anzeige

WhatsApp bringt KI-Schreibhilfe fĂĽr Kurznachrichten mit Fokus auf Datenschutz

WhatsApps KI-Schreibhilfe setzt auf "Private Processing". Audits fanden teils gravierende Lücken – trotz Nachbesserungen ist Vertrauen nötig.

vorlesen Druckansicht 16 Kommentare lesen
Whatsapp

(Bild: PixieMe/Shutterstock.com)

Lesezeit: 4 Min.
Von
close notice

This article is also available in English. It was translated with technical assistance and editorially reviewed before publication.

.

WhatsApp hat eine KI-gestützte Schreibhilfe namens "Writing Help" veröffentlicht – zunächst in englischer Sprache in den USA. Anschließend folgen weitere Sprachen und Länder. Um dem Ruf als "Datenkrake" entgegenzuwirken, will der Mutterkonzern Meta die Verarbeitung privater Nachrichten mit einem außergewöhnlich hohen technischen Aufwand absichern. Zwei parallel veröffentlichte Sicherheitsaudits zeigen jedoch, dass die dafür entwickelte Architektur "Private Processing" anfangs erhebliche und teils gravierende Schwachstellen aufwies.

Mit "Writing Help" will WhatsApp seinen Nutzern künftig beim Formulieren von Nachrichten helfen. Eine solche Funktion wirft unweigerlich die Frage auf, wie die Inhalte privater Ende-zu-Ende-verschlüsselter Chats verarbeitet werden, ohne die Vertraulichkeit zu gefährden.

Metas Antwort darauf ist die seit Längerem entwickelte Architektur "Private Processing". Laut dem Konzern soll diese technisch sicherstellen, dass niemand – nicht einmal Meta-Mitarbeiter – auf die verarbeiteten Nachrichten zugreifen kann. Das System basiert laut Meta auf mehreren Säulen:

  • Anonymisierte Anfragen: Bevor eine Anfrage die Server von Meta erreicht, wird die Identität des Nutzers durch das Oblivious-HTTP-Protokoll (OHTTP) ĂĽber einen externen Relay-Dienst verschleiert.
  • Isolierte Verarbeitung: Die eigentliche KI-Analyse findet in einer abgeschirmten Trusted Execution Environment (TEE) statt.
  • Stateless Processing: Die Nachrichten werden nur fĂĽr die Dauer der Verarbeitung im flĂĽchtigen Speicher gehalten und danach umgehend wieder gelöscht.

Metas "Private Processing": Die Architektur in der Ăśbersicht

(Bild: Meta)

Audits zeigten Schwachstellen auf

Um die Sicherheit dieses komplexen Systems zu belegen, beauftragte Meta die Firmen NCC Group (PDF) und Trail of Bits (PDF) mit unabhängigen Prüfungen. Die Berichte, die insgesamt 49 Schwachstellen (21 von NCC, 28 von Trail of Bits) auflisten, wurden veröffentlicht und zeichnen ein klares Bild: Der Ansatz ist ambitioniert, war aber zum Zeitpunkt der Audits alles andere als sicher.

Videos by heise

Beide Sicherheitsteams identifizierten unabhängig voneinander mehrere kritische Designfehler, die laut Meta inzwischen behoben wurden:

  • Gefahr der Deanonymisierung: Sowohl NCC als auch Trail of Bits fanden heraus, dass die fĂĽr die Anonymisierung (OHTTP) nötigen SchlĂĽsselkonfigurationen anfangs direkt von Meta-Servern an die Clients ausgeliefert wurden. Dies hätte es Meta ermöglicht, die Anonymität gezielt aufzuheben und Anfragen einzelnen Nutzern zuzuordnen.
  • Fehlende "Frische-Garantie": Beide Audits bemängelten, dass keine Mechanismen zur ĂśberprĂĽfung der Aktualität der TEE-Software – fĂĽr die Trusted Execution Environment – existierten. Ein Angreifer hätte eine einmal als sicher zertifizierte, aber später als verwundbar erkannte Software-Version unbegrenzt weiter nutzen können, um Nutzer anzugreifen.
  • Mangelnde Hardware-Bindung: Trail of Bits stellte zudem fest, dass die Attestierung nicht an spezifische, von Meta kontrollierte CPUs gebunden war. Ein Angreifer hätte eine beliebige, anderswo kompromittierte SEV-SNP-CPU nutzen können, um das System zu täuschen.

Die NCC Group fand auch unnötige Netzwerkschnittstellen in den geschützten VMs, die ein kompromittierter Host-Server zur Daten-Exfiltration hätte nutzen können. Trail of Bits entdeckte zudem die Möglichkeit der Code-Injection durch Umgebungsvariablen und eine anfänglich komplett fehlende Sicherheitsüberprüfung der NVIDIA-GPUs, die für die KI-Berechnungen eingesetzt werden.

Vertrauen weiterhin Grundvoraussetzung

Laut den Berichten hat Meta die meisten der kritischen Schwachstellen vor dem Start der Funktion behoben. Beide Audits kommen zu einem ähnlichen Schluss: Trotz der ausgeklügelten Technik hängt die Sicherheit von "Private Processing" letztlich von Vertrauensannahmen ab. Nutzer müssen darauf vertrauen, dass Meta nicht mit seinen Infrastruktur-Partnern (wie Fastly und Cloudflare) konspiriert oder die nicht quelloffenen Teile des Systems und die als Binärdateien ausgelieferten Images keine versteckten Hintertüren enthalten.

Beide Berichte empfahlen Meta dringend, auf vollständige Reproduzierbarkeit der Builds aus Open-Source-Code hinzuarbeiten, um eine echte, unabhängige Überprüfung durch die Öffentlichkeit zu ermöglichen. Sein Bug-Bounty-Programm betreibt Meta bereits seit 2011.

(mack)

Beliebte Bestenlisten

Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten